Google Play posiada system weryfikacji, który teoretycznie powinien wykluczać aplikacje stanowiące zagrożenie dla użytkowników popularnego sklepu z programami. Niestety zdarzały się przypadki, gdy zainfekowana apka trafiła na platformę i infekowała urządzenia mobilne. Nie inaczej jest i teraz.
Popularna aplikacja dostępna w Google Play okazała się niebezpiecznym narzędziem
Jednym ze sposobów ominięcia zabezpieczenia Google Play jest wrzucenie normalnej aplikacji i późniejszego wdrożenia złośliwego oprogramowania. Tak stało się z iRecorder - Screen Recorder. Aplikacja potajemnie co 15 minut nagrywała dźwięk za pomocą mikrofonu urządzenia i wysyłała je do twórcy apki. Badacz ESET, Lukas Stefanko, odkrył, że iRecorder - Screen Recorder został zainfekowany trojanami w ciągu ostatniego roku. Narzędzie po raz pierwszy pojawiło się w Google Play we wrześniu 2021 r., kiedy było wolne od szkodliwych elementów, ale to się zmieniło w sierpniu 2022 roku po wdrożeniu aktualizacji 1.3.8.
Aplikacja dostępna w Google Play, którą pobrano ponad 50 tysięcy razy okazała się złośliwym oprogramowaniem nagrywającym audio.
Szkodliwy kod dodany do aplikacji jest oparty na złośliwym oprogramowaniu AhMyth Android RAT (trojan zdalnego dostępu) typu open source, które jest w stanie kraść dane z urządzeń, w tym kontakty, wiadomości SMS, rejestr połączeń, historię przeglądarki, lokalizację sprzętu i zrzuty ekranu. Ale dostosowana wersja dewelopera, którą ESET nazwał AhRat, miała ograniczoną funkcjonalność. AhRat posiada zdolność nagrywania dźwięków z otoczenia za pomocą wbudowanego w sprzęt mikrofonu co 15 minut oraz przesyłania go na serwer hakera. Początkowo zaimplementowano tylko 6 z 18 funkcji programu, co oznacza, iż lwa część pojawiła się dopiero później.
Chodzi o takie możliwości jak funkcję rejestrowania wciskania klawiszy, śledzenie lokalizacji oraz wykonywania zrzutów ekranu. Niestety była to całkiem popularna aplikacja pobrana przez użytkowników Google Play ponad 50 000 razy, a dodatkowo wystawiono jej wysoką ocenę 4,2 gwiazdki. Zapewne zaufanie odbiorców wzięło się z tego, że przez dłuższy czas była ona wolna od szkodliwego oprogramowania i nie stanowiła zagrożenia.
Groźna zawartość miała zostać dodana w jednej z późniejszych aktualizacji
Możliwość nagrywania i wysyłania dźwięku w krótkich odstępach czasu to niezwykła cecha. Stefanko sugeruje, że może to być część kampanii szpiegowskiej, zwłaszcza że AhMyth o otwartym kodzie źródłowym był wcześniej używany przez Transparent Tribe, grupę szpiegowską znaną z atakowania organizacji rządowych i wojskowych w Azji Południowej. Nie ma jednak konkretnych dowodów, że AhMyth ma powiązania z przytoczoną grupą.
Coffeeholic Dev, twórca aplikacji, miał w sklepie inne aplikacje, które nie wykazywały oznak złośliwego oprogramowania, ale te elementy mogły zostać dodane w przyszłości, tak jak w przypadku iRecorder - Screen Recorder. Tego się zapewnie nigdy nie dowiemy, bo produkty dewelopera zostały usunięte ze sklepu Google.
Pokaż / Dodaj komentarze do: Dostępna w Google Play popularna aplikacja potajemnie nagrywała audio